북한 해킹조직의 공격 수법이 갈수록 교묘해지고 있다. 개인용컴퓨터(PC)에 침투하고 카카오톡 단체 대화방을 통해 악성파일을 유포하거나 국내 유명 포털사이트 고객센터를 사칭해 피싱 메일을 뿌리는 식이다. 잘 아는 지인이 보낸 파일에 대한 경계심이 낮다는 틈을 노려 공격 성공률을 높인다.
5일 정보보호산업계에 따르면, 국내 사이버보호 기업이 최근 북한 해킹조직의 공격 수법을 포착하고 이를 분석한 보고서를 일제히 내놨다.
지니언스 시큐리티 센터(GSC)는 북한 해킹조직 'APT37'의 공격사례를 소개했다.
먼저 APT37은 스피어피싱(특정 개인이나 조직을 겨냥한 맞춤형 공격)을 통해 PC에 침투했다. 이후 잠복을 유지하며 정찰(Reconnaissance)과 탐색(Discovery) 등을 수행한 뒤 이용자의 PC용 카카오톡에 몰래 접근해 여러 대화방에 악성파일을 유포했다.
일례로 수십여명이 참여한 대화방에 개체연결삽입(OLE)이 포함된 한컴오피스 문서파일(.hwp)과 파워셀(PowerShell) 명령이 삽입된 압축파일을 포함한 바로가기(.lnk) 확장자 파일을 올렸다. 파워셀 등이 작동하면 감염된 PC에서 다양한 정보 수집과 유출을 시도하고 원격제어 추가 기능도 설치할 수 있다.
이번 공격의 특징은 초기 침투 과정에서 이메일을 활용하고, 탈취한 피해자의 PC를 또 다른 공격 거점으로 악용한다는 점이다. 피해자인 동시에 가해자가 될 수 있는 것이다.
특히 APT37은 본격적으로 공격을 벌이기 전에 국내 주요 안티바이러스 제품의 진단가능 여부를 확인하는 등 탐지회피를 우선시하는 주도면밀함을 보였다.
GSC 관계자는 “지인이 온라인 메신저로 파일을 보내올 경우, 별다른 의심없이 파일을 열람할 수 있다는 점에서 위험 노출 가능성이 커질 수 있다”며 “평소 알고 지내며 신뢰할 수 있는 지인이 보낸 파일이라도, 신분이 도용돼 공격에 악용될 수 있다는 점을 반드시 명심해야 한다”고 말했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 최근 네이버 고객센터를 사칭한 피싱 공격이 북한 해킹조직 김수키(kimsuky)가 벌인 것으로 추정했다.
김수키는 전자문서 도착 알림, 회원정보 변경 알림, 약관 위반 알림 등 다양한 주제로 피싱메일을 유포했으며, 실제 안내 메일과 매우 흡사하게 제작했다. '게시물 중단 처리'를 주제로 한 메일의 경우, 본문 내 '확인하러 가기' 버튼을 클릭하면 피싱페이지로 접속되며, 비밀번호를 입력하도록 유도해 정보를 빼갔다.
ESRC 관계자는 “이메일 수신 시 발신자 주소와 접속한 페이지의 인터넷주소(URL)를 확인하는 습관을 가져야 한다”며 “정상적인 메일의 경우 발신자 주소 앞에 공식 로고가 표시된다는 점을 반드시 기억해야 한다”고 말했다.
안랩 시큐리티 인텔리전스센터(ASEC)는 김수키가 RDP 래퍼(Wrapper)를 악용한 공격을 지속하고 있다고 분석했다. RDP Wrapper는 원격 데스크톱 기능을 지원하는 오픈 소스 유틸리티이다. 윈도 운영체계는 모든 버전에서 원격 데스크톱을 지원하지 않아, RDP Wrapper를 설치해 원격 데스크톱을 활성화할 수 있다.
김수키는 스피어 피싱 공격으로 악성 명령어가 포함된 바로가기 파일을 유포하는데, 최종적으론 RDP Wrapper 등이 실행된다.
ASEC은 관계자는 “김수키는 국내 사용자를 대상으로 지속적으로 스피어 피싱 공격을 수행하고 있다”며 “메일 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일은 열람을 자제해야 한다”고 말했다.
조재학 기자 2jh@etnews.com
